Mitä kohta A.3.5 edellyttää?
Tiedot on luokiteltava organisaation tietoturvatarpeiden mukaisesti ottaen huomioon henkilötiedot luottamuksellisuuden, eheyden, saatavuuden ja asiaankuuluvien sidosryhmien vaatimusten perusteella.
Tämä ohjaus sijaitsee jaetut suojauskontrollit (Taulukko A.3). Se laajentaa ISO 27001 -standardin mukaista tiedonluokitteluvaatimusta tekemällä selväksi, että henkilötietoja on käsiteltävä luokittelujärjestelmän sisällä eikä niitä pidä käsitellä jälkikäteen harkittuna.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.3.5) annetaan seuraavat ohjeet:
- Luokittelujärjestelmän tulisi ota nimenomaisesti huomioon henkilötiedot suojaa vaativana tietoluokkana
- Ymmärtää mitä henkilötietoja organisaatio käsittelee, missä sitä säilytetään ja minkä järjestelmien läpi se voi virrata
- Harkitse henkilötietojen tyyppi ja sisältääkö se erityisluokkia (esim. terveystiedot, biometriset tiedot, rotu- tai etninen alkuperä)
- Luokittelun tulisi ohjata asianmukaisten suojatoimien soveltamista, ja korkeammat luokitukset tulisi suojata vahvemmin.
- Järjestelmän tulisi olla käytännöllinen ja sitä tulisi soveltaa johdonmukaisesti koko organisaatiossa.
- Katso myös A.3.20: Tallennusvälineet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.21: Laitteiden turvallinen hävittäminen tai uudelleenkäyttö asiaankuuluvia vaatimuksia varten
Ohjeistuksessa tunnustetaan, että henkilötiedot eivät ole yksi ainoa homogeeninen luokka. Sähköpostiosoitteella on erilainen riskiprofiili kuin potilaskertomuksella. Luokittelujärjestelmän tulisi heijastaa näitä eroja ja edistää oikeasuhteista suojaa.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.5 kohdennus GDPR 5 artiklan 1 kohdan f alakohta (tietojen eheys ja luottamuksellisuus) ja 32 artiklan 2 kohta (vaatimus toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet käsittelyn turvallisuuden varmistamiseksi). GDPR odottaa riskiperusteista lähestymistapaa tietoturvaan, ja luokittelu on mekanismi, jolla riskitasot määritetään erityyppisille tiedoille.
GDPR:n 9 artiklan mukaisten erityisten henkilötietoryhmien tulisi saada korkein turvallisuusluokitus, joka heijastaa asetuksen tämän tyyppisille tiedoille edellyttämiä lisäsuojatoimia.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Jaettuna tietoturvakontrollina A.3.5 tukee laajempaa ISO 29100 Luokittelu on perustavanlaatuinen hallintomekanismi, joka mahdollistaa tietoturvaperiaatteen johdonmukaisen soveltamisen kaikentyyppisiin tietoihin ja jossa henkilötietoihin kiinnitetään tarvittavaa huomiota.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Luokittelujärjestelmä — Dokumentoitu luokittelupolitiikka, joka nimenomaisesti sisältää henkilötiedot ja erityisluokat luokitteluperusteina
- Tietojen inventaario — Rekisteri organisaation käsittelemistä henkilötiedoista, niiden tallennuspaikasta ja käsittelyjärjestelmistä
- Luokittelupäätökset — Todiste siitä, että henkilötietoja sisältävät varat on luokiteltu järjestelmän mukaisesti (esim. tietokannat, joihin on merkitty ”luottamuksellinen” tai ”rajoitettu”)
- Ohjauskartoitus — Näyttö siitä, että luokitustasot ohjaavat turvatoimien soveltamista (korkeampi luokitus = vahvemmat toimenpiteet)
- Koulutus ja tietoisuus — Todiste siitä, että henkilöstö ymmärtää luokittelujärjestelmän ja sen soveltamisen henkilötietoihin
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.6 Tietojen merkitseminen | Kun tiedot on luokiteltu, ne on merkittävä siten, että luokittelu on näkyvää ja täytäntöönpanokelpoista. |
| A.3.3 Tietoturvakäytännöt | Luokittelujärjestelmän tulisi olla määritelty tietoturvapolitiikassa tai siihen tulisi viitata siinä. |
| A.3.7 Tiedonsiirto | Siirtosääntöjen tulisi viitata luokitustasoihin asianmukaisten siirtomekanismien määrittämiseksi |
| A.3.8 Identiteetinhallinta | Pääsyä korkeamman luokan henkilötietoihin tulisi rajoittaa identiteetin ja pääsynhallinnan avulla. |
| A.3.4 Roolit ja vastuut | Tiedon omistajat (määritelty rooli) ovat vastuussa luokittelupäätöksistä |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.5.2.1. Asiasisältö on pysynyt muuttumattomana, mutta vuoden 2025 uudelleenjärjestelyssä kontrolli integroidaan selkeämmin jaettuun tietoturvakontrollikehykseen. B.3.5:n toteutusohjeissa korostetaan nyt selkeämmin tietovirtojen ja henkilötietojen erityisluokkien ymmärtämistä osana luokitteluprosessia. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen luokitteluun ja suojaamiseen?
ISMS.online auttaa sinua rakentamaan ja ylläpitämään käytännöllistä tiedonluokittelujärjestelmää:
- Omaisuusrekisteri luokituksella — Kirjaa jokainen tietoresurssi, määritä sille luokitustaso ja merkitse henkilötietoja tai erityisluokkia sisältävät resurssit
- Tietovuon kartoitus — Visualisoi, mihin henkilötietoja tallennetaan ja miten ne liikkuvat järjestelmien välillä, mikä helpottaa luokittelua vaativien resurssien tunnistamista
- Ohjausvivusto — Yhdistä luokittelutasot kullakin tasolla sovellettaviin turvatoimiin ja varmista oikeasuhteinen suoja
- Tarkista työnkulut — Aikatauluta säännöllisiä luokitustarkistuksia ja seuraa niiden valmistumista, jotta luokitukset pysyvät ajan tasalla käsittelytoimien muuttuessa
- Tietoisuuden lisäämisen työkalut — Jakaa luokitteluohjeita henkilöstölle ja seuraa niiden hyväksymistä, tukien koulutuksessa käytettyä näyttöä, jota auditoijat odottavat
UKK
Miten henkilötietojen tulisi sopia olemassa olevaan luokittelujärjestelmään?
Useimmat organisaatiot käyttävät porrastettua luokittelujärjestelmää (esim. julkinen, sisäinen, luottamuksellinen, rajoitettu). Henkilötiedot tulisi tyypillisesti luokitella luottamuksellisiksi tai sitä korkeammiksi, ja erityisluokat (terveys-, biometriset, etniset/rotutiedot) tulisi luokitella korkeimmalle tasolle. Jos nykyisessä järjestelmässäsi ei ole tasoa, joka kuvaa henkilötietojen arkaluontoisuutta riittävästi, harkitse sellaisen lisäämistä tai olemassa olevien tasojen kuvausten päivittämistä siten, että ne käsittelevät nimenomaisesti henkilötietoja.
Pitääkö meidän luokitella jokainen yksittäinen tietue?
Ei. Luokittelua sovelletaan tyypillisesti resurssitasolla (esim. tietokanta, tiedostojako, sovellus) yksittäisen tietueen tason sijaan. Keskeistä on ymmärtää, mitkä resurssit sisältävät henkilötietoja, ja luokitella ne asianmukaisesti. Jos yhdessä järjestelmässä on erityyppisiä henkilötietoja, joilla on eri herkkyystasot, ne luokitellaan sen sisältämien arkaluonteisimpien tietojen perusteella.
Mitä ovat henkilötietojen erityisluokat?
GDPR:n mukaan erityisluokkiin kuuluvat tiedot, jotka paljastavat rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset vakaumukset, ammattiliittojäsenyyden, geneettiset tiedot, biometriset tiedot tunnistamista varten, terveystiedot sekä tiedot seksuaalisesta elämästä tai seksuaalisesta suuntautumisesta. ISO 27701 -standardissa käytetään laajempaa termiä "arkaluonteiset henkilötiedot" ja erityisluokat jätetään sovellettavan lainsäädännön varaan. Luokittelujärjestelmän tulisi tunnistaa nämä tyypit ja määrittää niille korkein suojaustaso.
Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta toteutusperustelujesi kanssa.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.
